Трансграничная передача персональных данных

28/02/25

Б-152

Трансграничная передача персональных данных (ТППДн) ― это пересылка личных сведений граждан России в зарубежные страны.

Персональную информацию субъектов иностранным контрагентам отправляют операторы ПДн. О том, что выполняется трансграничная передача персональных данных, нужно обязательно уведомить Роскомнадзор. В противном случае, компания получит штраф.

Разберем, как пересылать личные сведения за границу, как корректно отправить уведомление и что в законодательных нормах является трансграничной передачей персональных данных.

В ст. 3 ФЗ-152 указано, что является трансграничной передачей персональных данных ― это пересылка личных сведений гражданина на территорию другого государства, в том числе органам власти, зарубежному физическому или юрлицу.

К этой категории не относится:

• обмен сведениями по кадрам между компанией из РФ и ее представительством в другой стране;
• обработка информации о субъекте из России непосредственно в РФ зарубежной компанией.

Тогда что относится к трансграничной передаче персональных данных, как понять, что это значит — осуществление трансграничной передачи персональных данных?

Приведем два примера того, что относится к случаям трансграничной передачи персональных данных:

• Турагент направляет список россиян в египетский отель, чтобы забронировать номера. Это осуществление трансграничной передачи персональных данных.
• Самозанятый копирайтер принимает заказ на написание текстов о сотрудниках компании и перепоручает работу задачу фрилансеру из Казахстана. Чтобы ему было понятнее, с чем работать ― он отправляет личные данные сотрудников фрилансеру. То есть он также передает трансграничные персональные данные.

Еще один неочевидный пример того, что относится к трансграничной передаче персональных данных― использование зарубежного ПО в деятельности. Например, WhatsApp всегда информирует в соглашении пользователей о том, что осуществляет обмен их данными с головной компанией, которая находится в другой стране. Но многие иностранные владельцы ПО об этом не говорят, а просто тихо пересылают персональные данные субъектов для хранения на иностранные серверы.

Компания-оператор и иностранный контрагент ответственны перед субъектом из РФ за то, что его личные сведения будут защищены при передаче зарубежному физическому или юрлицу. Если оператор передает трансграничные персональные данные юридическому или физлицу из РФ ― за их сохранность несет ответственность только он. Для пересылки личных сведений сотрудника компания должна взять от него согласие на трансграничную передачу персональных данных.

Согласие на трансграничную передачу персональных данных ― скачать.

Согласно 152-ФЗ, зарубежные государства делятся на два типа:

До 01.03.2023 осуществление трансграничной передачи персональных данных в «адекватные страны» было свободным. Главное, чтобы операторы соблюдали 152-ФЗ, а гражданин, сведения которого передавали, знал, что оператор ПДн поручил сторонним лицам обработку его персональной информации.

С 01.03.2023 в силу вступила новая редакция статьи 12 152-ФЗ. Теперь главное условие при пересылке личных сведений о гражданах за рубеж ― это отправка уведомления в Роскомнадзор о том, что компания намеревается выполнить трансграничную передачу данных. Причем сначала следует направить уведомление о трансграничной передаче персональных данных, а уже потом заниматься деятельностью данного вида.

«Адекватные страны», то есть те, которые адекватно защищают персональные данные. Это упрощает трансграничные операции

Это стороны Конвенции Европейского Совета о защите физлиц при автоматизированной обработке личных сведений и иные государства, которые включены в перечень Роскомнадзора (Конвенция от 28.01.81; приказ от 05.08.2022 № 128 — действует с 01.03.2023).

К примеру, это Ирландия, Азербайджан, Армения, Казахстан, Беларусь, Китай.

«Неадекватные страны» ― то есть те, которые не способны обеспечить адекватную защиту ПДн российских граждан

Это государства, которые не включены в указанные списки Роскомнадзора.

Рассмотрим, как направить уведомление о трансграничной передаче персональных данных субъектов в Роскомнадзор.

Оцените, точно ли иностранный контрагент, которому вы планируете пересылать сведения, соблюдает конфиденциальность и обеспечивает защиту обрабатываемой информации. Каким образом это сделать ― в законе не указано. Но есть список сведений, которые компания должна запросить у зарубежного контрагента:

• Меры, которые иностранец предпринимает для защиты пересылаемых личных сведений граждан России. Условия, на которых информацию прекращают обрабатывать.
• Правовое регулирование в сфере защиты ПДн в государстве-адресате. Касается только «неадекватных стран».
• Сведения о зарубежном контрагенте, который будет получать ПДн. Если это юрлицо ― то наименование, если физическое лицо ― то ФИО. Кроме того, необходимо запросить номера телефонов, адрес почты и другие контактные данные.

Запрашивать такие сведения нужно у каждого иностранца, которому планируется отправлять ПД. Кроме того, их следует хранить ― они потребуются при проверках со стороны РКН.

Что означает «‎оценить иностранное государство», в которое будет осуществляться трансграничная передача персональных данных? Это значит, что нужно присвоить стране статус ― «адекватная» она или «неадекватная».

Для этого достаточно свериться с перечнем, указанным в приказе №128 Роскомнадзора от 05.08.2022.

Перейдите в сервис подачи уведомлений на официальном сайте Роскомнадзора. Чтобы отправить уведомление онлайн, потребуется наличие учетной записи на портале Госуслуги. Если уведомление направляется от лица компании, то это должен быть личный кабинет компании, а не сотрудника.

Если у организации отсутствует личный кабинет на портале Госуслуги, она вправе скачать бланк уведомления с официального сайта РКН. Далее уведомление о трансграничной передаче персональных данных заполняют, распечатывают, его подписывает руководство и бланк в бумажном формате отправляют Почтой России в Роскомнадзор. Также допускается отнести его лично в РКН. Это указано в ч. 4 ст. 12 ФЗ-152.

В письме Роскомнадзора № 08ВМ-98928 указано, что оператор ПДн вправе заполнить и направить такое количество уведомлений, которое считает необходимым. Этот момент ничем не ограничен.

Варианты подачи уведомлений о трансграничной передаче персональных данных:

• можно направить в роскомнадзор один документ на все цели ТППДн и все государства, с которыми у компании есть контакты;
• можно заполнить отдельные бланки на каждую цель и каждую страну.

В дальнейшем, если у оператора меняется список государств или целей, он подает новое уведомление о намерении совершать трансграничную передачу персональных данных субъектов в другое государство.

Право Роскомнадзора ― выдать запрет или ограничение в автоматическом режиме по результатам рассмотрения уведомления на трансграничную пересылку персональных данных. О решении РКН оператор узнает через 10 рабочих дней после отправки уведомления.

При проверке уведомления ведомство часто запрашивает всю информацию по оценке иностранного контрагента, который будет получать ПД, по соблюдению им мер защиты личных сведений при их обработке. Поэтому оптимальный вариант ― задокументировать и сохранить всю переписку с зарубежным юридическим или физлицом.

Отправить данные в Роскомнадзор необходимо на протяжении 10 дней. Если причина уважительная ― срок допустимо продлить, но максимум на 5 рабочих дней. Пока вся запрашиваемая информация не поступит в ведомство, вынесение решения приостанавливается.

ТППДн в «адекватные страны» может осуществляться сразу после того, как компания отправила уведомление ― ждать, пока ведомство вынесет решение не нужно. Это указано в ч. 10, ст. 12 ФЗ-152. Если говорить о «неадекватных странах», то в этом случае ждать решение по уведомлению обязательно. При получении запрета Роскомнадзора на трансграничную передачу персональных данных пересылать личные сведения российских граждан в эти страны нельзя.

Также Роскомнадзор может выдать запрет или ограничение на ТППДн по требованию уполномоченных госорганов, например, МВД или ФСБ. Такое решение обычно принимают для защиты интересов России, ее граждан, а также для обеспечения госбезопасности и суверенитета страны. Это указано в ч. 12 ст. 12 ФЗ-152.

Несоблюдение обязательств по регистрации в Роскомнадзоре приводит к ответственности ― компания может получить серьезный штраф за трансграничную передачу персональных данных без подачи уведомления или другие нарушения. Административная ответственность за трансграничную передачу персональных данных предусматривает суммы штрафов в пределах 300-800 тыс. рублей.

Кстати, с 2023 года операторы ПДн обязаны иметь полный пакет документов в соответствии с требованиями ФЗ-152 для работы с личными данными на всех этапах. Пакет включает более 60 позиций разных документов и формируется индивидуально для каждой компании в зависимости от сферы ее деятельности и целей обработки ПДн. Формирование документов регламентировано не только в ФЗ-152, но и других подзаконных актах.

Подготовить или обновить внутреннюю документацию нужно перед регистрацией в Роскомнадзоре. Самое главное — разработать Политику оператора персональных данных. Этот документ ― ключевой. Он регулирует вопросы обработки и защиты ПДн.

Мы разобрались, что означает понятие «трансграничная передача персональных данных». Теперь поговорим о GDPR.

GDPR ― это регламент Европарламента и Евросоюза о защите физлиц при обработке их ПДн. Под действие регламента также попадают российские компании, которые:

• Обрабатывают данные граждан ЕС при реализации им товаров или услуг. Поэтому если вы не знаете, какое гражданство у ваших покупателей или клиентов, учитывайте, что кто-то из них может считаться гражданином ЕС, если вы одновременно используете язык или валюту одной из стран ЕС и предлагаете оформить заказ на языке этой страны, например, указав на своем сайте, что эти товары или услуги предлагаются гражданам ЕС.
• Обрабатывают данные для исследования поведенческой активности граждан ЕС. Например, отслеживают онлайн-деятельность европейского гражданина для составления его профиля для анализа или прогнозирования личных предпочтений.

Требования Европейского регламента на осуществление трансграничной передачи персональных данных в целом аналогичны требованиям законодательства России. Например, в том, что у любой обработки ПДн должна присутствовать цель. Но есть и свои особенности. По правилам GDPR, оператор ПДн должен:

• Оценивать воздействие процесса обработки личных сведений на их защиту. В ст. 35 можно ознакомиться с порядком оценки.
• Назначать инспектора, который будет отвечать за защиту личных данных. Это требуется в ситуациях, когда основная деятельность компании заключена в обработке ПДн и масштабном, регулярном, а также систематическом мониторинге граждан.
• Незамедлительно уведомлять гражданина при утечке ПДн, если она может привести к высокой степени риска для прав и свобод субъекта.

Несоблюдение законов может привести к серьезным отрицательным последствиям. Предусмотрен штраф за трансграничную передачу персональных данных и уголовная ответственность.

Законодательство в сфере ТППДн не стоит на месте. С 1 июля 2025 года вступила в силу новая редакция ч. 5 ст. 18 ФЗ-152, внесенная Федеральным законом от 28.02.2025 № 23-ФЗ. Ключевое нововведение ― императивный запрет на использование зарубежных баз данных при первичном сборе персональных данных граждан РФ. Теперь любая схема сбора, включающая иностранную информационную систему, считается незаконной. Данные должны сначала поступить в базу на территории России, и только после этого оператор вправе передавать их за рубеж, указав конкретную цель для осуществления трансграничной передачи персональных данных в уведомлении.

При этом, согласно разъяснениям Роскомнадзора и Минцифры, сама ТППДн по-прежнему разрешена ― при условии, что данные ранее были собраны в российскую базу. Однако перед отправкой сведений за границу необходимо получить от субъекта согласие на трансграничную передачу персональных данных ― отдельное от общего согласия на обработку ПДн. Кроме того, в договорах и офертах рекомендуется включать соглашение о том, что будет выполняться трансграничная передача персональных данных, чтобы субъект был полностью проинформирован о маршруте движения его личных сведений.

Параллельно с 30 мая 2025 года кратно возросли штрафы. За нарушения, связанные с ТППДн, юрлицам грозит от 1 до 6 млн рублей, а при повторном нарушении ― до 18 млн рублей. За нарушение локализации также предусмотрены серьезные санкции, а неправомерный доступ к ПДн, сопряженный с трансграничной передачей, квалифицируется по ст. 272.1 УК РФ и грозит лишением свободы до 8 лет.

ТППДн представляет собой пересылку личных сведений о физлицах в иностранное государство. Причем неважно, куда отправляются сведения ― в государственные органы, иностранные организации или физлицам, все это относится к ТППДн, а вы становитесь оператором.

К трансграничной передаче относится множество случаев ― оформление туров, бронирование отелей за рубежом. Компании становятся операторами, если работают с иностранными контрагентами, отправляют сотрудников в командировки или на мероприятия за границу.

Трансграничная передача персональных данных требует получить от физлица согласие на отправку ПДн за рубеж. Также у зарубежного контрагента следует запросить ряд сведений, например, о мерах, которые он предпринимает для защиты отправленных данных.

Важно уведомить РКН о том, что будет выполняться передача персональных данных за рубеж. Ведомство рассмотрит уведомление в течение десяти рабочих дней и только тогда допускается начинать передачу. Это указание не действует для «адекватных стран». В таком случае дожидаться решения по уведомлению не нужно.

В ряде случаев организации из РФ обязаны соблюдать Европейский регламент о персональных данных. Например, если предусматривается возможность продажи товаров или услуг гражданам Евросоюза.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме